Расширения Google Chrome могут облегчить жизнь и добавить полезные функции при работе с браузером, но они также могут использоваться для распространения вредоносных программ и угрожать вашей информационной безопасности.
Собственно, на днях специалисты из McAfee обнаружили пять расширений Google Chrome, которые крадут данные о действиях пользователей и в совокупности эти расширения были загружены более 1,4 миллиона раз:
- Netflix Party - 800 000;
- Netflix Party 2 - 300 000;
- Full Page Screenshot Captureу - 200 000;
- FlipShope - 80 000;
- AutoBuy Flash Sales - 20 000.
Целью вредоносных расширений является отслеживание действий пользователей при посещении ресурсов электронной коммерции и последующим изменением файлов cookie посетителя для того, чтобы все выглядело так, будто они перешли по реферальной ссылке.
Таким образом, авторы расширений получают партнерское вознаграждение за любые покупки сделанные в магазинах электроники.
Примечательно, что расширения обладают заявленным функционалом, из-за чего жертвам сложнее заметить вредоносную активность и хотя их использование не влияет на пользователей напрямую, они представляют серьезную угрозу конфиденциальности.
Причем, чтобы избежать обнаружения, анализа и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять активность браузера.
Два расширения Netflix Party уже удалены из магазина, но это не спасает если вы не удалили их из веб-браузера, поэтому пользователям следует вручную удалить их.
Если вы используете какие-либо из перечисленных расширений и даже если вы находите их функциональность полезной, рекомендуется немедленно избавиться от них.
Собственно, на днях специалисты из McAfee обнаружили пять расширений Google Chrome, которые крадут данные о действиях пользователей и в совокупности эти расширения были загружены более 1,4 миллиона раз:
- Netflix Party - 800 000;
- Netflix Party 2 - 300 000;
- Full Page Screenshot Captureу - 200 000;
- FlipShope - 80 000;
- AutoBuy Flash Sales - 20 000.
Целью вредоносных расширений является отслеживание действий пользователей при посещении ресурсов электронной коммерции и последующим изменением файлов cookie посетителя для того, чтобы все выглядело так, будто они перешли по реферальной ссылке.
Таким образом, авторы расширений получают партнерское вознаграждение за любые покупки сделанные в магазинах электроники.
Примечательно, что расширения обладают заявленным функционалом, из-за чего жертвам сложнее заметить вредоносную активность и хотя их использование не влияет на пользователей напрямую, они представляют серьезную угрозу конфиденциальности.
Причем, чтобы избежать обнаружения, анализа и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять активность браузера.
Два расширения Netflix Party уже удалены из магазина, но это не спасает если вы не удалили их из веб-браузера, поэтому пользователям следует вручную удалить их.
Если вы используете какие-либо из перечисленных расширений и даже если вы находите их функциональность полезной, рекомендуется немедленно избавиться от них.
McAfee Blog
Malicious Cookie Stuffing Chrome Extensions with 1.4 Million Users | McAfee Blog
Authored by Oliver Devane and Vallabh Chole September 9, 2022 Update: Since the original publication of this blog on August 29, 2022, the Flipshope
Google объявила о первом стабильном выпуске Chrome 105, который содержит исправления для 24 уязвимостей, в том числе 13 ошибок использования после освобождения и переполнения буфера кучи.
Внешние исследователи сообщили о 21 из устраненных дефектов безопасности, в том числе об одной критической, восьми высокой, девяти средней и трех низкой степени серьезности уязвимости.
В общей сложности с последним обновлением браузера было решено девять проблем use-after-free, самая важная из которых — это критический недостаток в компоненте Network Service.
Chrome 105 также исправляет пять серьезных уязвимостей использования после освобождения, затрагивающих такие компоненты браузера, как WebSQL, Layout, PhoneHub и тег браузера.
Google выплатила от 5000 до 10 000 долларов за четыре выпуска, но еще не определил сумму, которую нужно заплатить за пятый.
Другие серьезные ошибки, которые устраняет последнее обновление Chrome, включают переполнение буфера кучи в Screen Capture, проблемную реализацию в Site Isolation и недостаточную проверку ненадежных входных данных в V8.
Три уязвимости средней степени серьезности, которые исправлены в Chrome 105, — это ошибки переполнения буфера кучи, две — проблемы с использованием после освобождения, две — недостаточное применение политик и две — несоответствующие реализации.
Google за них отвалила более 60 000 долларов в качестве вознаграждения исследователям, сообщившим об ошибках, пять ошибок еще не оценены.
Последняя версия браузера теперь распространяется для пользователей Mac и Linux как Chrome 105.0.5195.52 и для пользователей Windows как Chrome 105.0.5195.52/53/54.
При этом Google не представила информации относительно использования какой-либо из исправленных уязвимостей в реальных атаках.
Но, как говорится, еще не вечер.
Внешние исследователи сообщили о 21 из устраненных дефектов безопасности, в том числе об одной критической, восьми высокой, девяти средней и трех низкой степени серьезности уязвимости.
В общей сложности с последним обновлением браузера было решено девять проблем use-after-free, самая важная из которых — это критический недостаток в компоненте Network Service.
Chrome 105 также исправляет пять серьезных уязвимостей использования после освобождения, затрагивающих такие компоненты браузера, как WebSQL, Layout, PhoneHub и тег браузера.
Google выплатила от 5000 до 10 000 долларов за четыре выпуска, но еще не определил сумму, которую нужно заплатить за пятый.
Другие серьезные ошибки, которые устраняет последнее обновление Chrome, включают переполнение буфера кучи в Screen Capture, проблемную реализацию в Site Isolation и недостаточную проверку ненадежных входных данных в V8.
Три уязвимости средней степени серьезности, которые исправлены в Chrome 105, — это ошибки переполнения буфера кучи, две — проблемы с использованием после освобождения, две — недостаточное применение политик и две — несоответствующие реализации.
Google за них отвалила более 60 000 долларов в качестве вознаграждения исследователям, сообщившим об ошибках, пять ошибок еще не оценены.
Последняя версия браузера теперь распространяется для пользователей Mac и Linux как Chrome 105.0.5195.52 и для пользователей Windows как Chrome 105.0.5195.52/53/54.
При этом Google не представила информации относительно использования какой-либо из исправленных уязвимостей в реальных атаках.
Но, как говорится, еще не вечер.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 105 to the stable channel for Windows, Mac and Linux . This will roll out ...
͏Karakurt взломали Международный центр разработки миграционной политики (ICMPD), указав международную организацию в списке своих жертв на DLS.
ICMPD реализует в 90 странах исследования и мероприятия, связанные с миграцией. Организация насчитывает 19 государств-членов, большинство из которых европейские, и имеет статус наблюдателя в ООН.
При этом сам ICMPD также подтвердил инцидент. Бернхард Шрагл, координатор по связям с общественностью ICMPD, отметил, что злоумышленникам удалось получить «ограниченный доступ» к отдельным серверам, на которых хранились данные.
Представители ICMPD заявили, что менее чем через 45 минут после обнаружения были предприняты меры экстренного реагирования, все внешние сетевые подключения были отключены, а все веб-сайты закрыты.
Для расследования атаки ICMPD привлекли группу IT-экспертов и, конечно же, соответствующие органы. Однако до настоящего момента назвать точный объем украденной информации специалисты затрудняются.
В свою очередь, Karakurt заявили, что смогли выкрасть финансовые документы, банковские данные и личную информацию общим объемом в 375 ГБ.
Солидный улов, что не удивительно. Напомним, она активна с середины 2021 года и, по мнению ресерчеров Infinitum IT и Advanced Intelligence, считается «дочерним предприятием» небезызвестных Conti.
ICMPD реализует в 90 странах исследования и мероприятия, связанные с миграцией. Организация насчитывает 19 государств-членов, большинство из которых европейские, и имеет статус наблюдателя в ООН.
При этом сам ICMPD также подтвердил инцидент. Бернхард Шрагл, координатор по связям с общественностью ICMPD, отметил, что злоумышленникам удалось получить «ограниченный доступ» к отдельным серверам, на которых хранились данные.
Представители ICMPD заявили, что менее чем через 45 минут после обнаружения были предприняты меры экстренного реагирования, все внешние сетевые подключения были отключены, а все веб-сайты закрыты.
Для расследования атаки ICMPD привлекли группу IT-экспертов и, конечно же, соответствующие органы. Однако до настоящего момента назвать точный объем украденной информации специалисты затрудняются.
В свою очередь, Karakurt заявили, что смогли выкрасть финансовые документы, банковские данные и личную информацию общим объемом в 375 ГБ.
Солидный улов, что не удивительно. Напомним, она активна с середины 2021 года и, по мнению ресерчеров Infinitum IT и Advanced Intelligence, считается «дочерним предприятием» небезызвестных Conti.
В TikTok для Android исправлена критическая уязвимость, которая позволяла хакерам захватывать учетные записи после клика вредоносной ссылки.
Приложение TikTok для Android к настоящему времени имеет более 1 млрд. загрузок, на в совокупности на всех платформах - более 2 млрд.
В феврале ресерчеры Microsoft 365 Defender обнаружили серьезную уязвимость WebView Hijacking через непроверенную диплинк в недезинфицированном параметре, о чем сообщили в в администрацию TikTok.
При нажатии на ссылку было обнаружено более 70 методов JavaScript, которыми злоумышленник мог злоупотребить с помощью эксплойта, предназначенного для захвата WebView приложения TikTok (системный компонент Android, используемый уязвимым приложением для отображения веб-контента).
Злоумышленники, которым удалось бы успешно использовать эту уязвимость, могли бы легко:
⁃ получить токены аутентификации пользователей (запустив запрос к серверу, находящемуся под их контролем, и зарегистрировав файл cookie и заголовки запроса)
⁃ извлечь или изменить данные учетной записи пользователя TikTok, включая частные видео и настройки профиля (путем отправки запроса к конечной точке TikTok и получения ответа с помощью обратного вызова JavaScript).
CVE-2022-28799 исправлена с выпуском версии TikTok 23.7.3, опубликованной менее чем через месяц после первоначального раскрытия.
Microsoft в отчете также указывает, что пока не нашла доказательств того, что ошибка использовалась в дикой природе.
Пользователям TikTok рекомендуется воздержаться от перехода по ссылкам из ненадежных источников, регулярно обновляться и устанавливать приложение из официальных источников.
Приложение TikTok для Android к настоящему времени имеет более 1 млрд. загрузок, на в совокупности на всех платформах - более 2 млрд.
В феврале ресерчеры Microsoft 365 Defender обнаружили серьезную уязвимость WebView Hijacking через непроверенную диплинк в недезинфицированном параметре, о чем сообщили в в администрацию TikTok.
При нажатии на ссылку было обнаружено более 70 методов JavaScript, которыми злоумышленник мог злоупотребить с помощью эксплойта, предназначенного для захвата WebView приложения TikTok (системный компонент Android, используемый уязвимым приложением для отображения веб-контента).
Злоумышленники, которым удалось бы успешно использовать эту уязвимость, могли бы легко:
⁃ получить токены аутентификации пользователей (запустив запрос к серверу, находящемуся под их контролем, и зарегистрировав файл cookie и заголовки запроса)
⁃ извлечь или изменить данные учетной записи пользователя TikTok, включая частные видео и настройки профиля (путем отправки запроса к конечной точке TikTok и получения ответа с помощью обратного вызова JavaScript).
CVE-2022-28799 исправлена с выпуском версии TikTok 23.7.3, опубликованной менее чем через месяц после первоначального раскрытия.
Microsoft в отчете также указывает, что пока не нашла доказательств того, что ошибка использовалась в дикой природе.
Пользователям TikTok рекомендуется воздержаться от перехода по ссылкам из ненадежных источников, регулярно обновляться и устанавливать приложение из официальных источников.
HackerOne
TikTok disclosed on HackerOne: One Click Account Hijacking via...
A WebView Hijacking vulnerability was found on the TikTok Android application via an un-validated deeplink on an un-sanitized parameter. This could have resulted in account hijacking through a...
Итальянский нефтегазовый гигант Eni, который на территории страны не имеет ни одной скважины, но благополучно осуществляет добычу в Африке, России и Казахстане подвергся кибератаке.
В своих пояснениях представитель компании подтвердил о нарушениях безопасности и злоумышленники получили доступ к ее сети, но атака имела незначительные последствия, поскольку своевременно быстро обнаружена и были приняты соответствующие меры.
Компания сообщила об инциденте итальянским властям, которые уже начали расследование, чтобы определить масштаб угроз и последствий. Впервые об атаке сообщили Bloomberg News в среду, предположив, что Eni пострадала от программы-вымогателя.
Однако пока нет никаких технических подробностей об атаке и в настоящее время невозможно определить, как злоумышленники взломали компанию, их мотивацию и какой субъект угрозы стоит за вторжением.
К сожалению это не единственный инцидент за последнее время когда пострадал энергетический сектор Италии. Буквально на дня атаке подверглось итальянское энергетическое агентство Gestore dei Servizi Energetici SpA. Причем GSE — это государственная структура, которая управляет итальянским рынком электроэнергии.
Детали инцидента также отсутствуют и веб-сайт GSE все еще не работает, но источники, знакомые с этим вопросом, сообщили, что инфраструктура компании была скомпрометирована и это повлияло на деятельность агентства.
Ни дня без ransomware.
В своих пояснениях представитель компании подтвердил о нарушениях безопасности и злоумышленники получили доступ к ее сети, но атака имела незначительные последствия, поскольку своевременно быстро обнаружена и были приняты соответствующие меры.
Компания сообщила об инциденте итальянским властям, которые уже начали расследование, чтобы определить масштаб угроз и последствий. Впервые об атаке сообщили Bloomberg News в среду, предположив, что Eni пострадала от программы-вымогателя.
Однако пока нет никаких технических подробностей об атаке и в настоящее время невозможно определить, как злоумышленники взломали компанию, их мотивацию и какой субъект угрозы стоит за вторжением.
К сожалению это не единственный инцидент за последнее время когда пострадал энергетический сектор Италии. Буквально на дня атаке подверглось итальянское энергетическое агентство Gestore dei Servizi Energetici SpA. Причем GSE — это государственная структура, которая управляет итальянским рынком электроэнергии.
Детали инцидента также отсутствуют и веб-сайт GSE все еще не работает, но источники, знакомые с этим вопросом, сообщили, что инфраструктура компании была скомпрометирована и это повлияло на деятельность агентства.
Ни дня без ransomware.
Reuters
Hackers hit Italian oil company Eni's computer networks
Italian oil company Eni's computer networks were hacked in recent days but the consequences appear to be minor so far, the company said on Wednesday.
Apple выпустила наконец-то обновления безопасности для старых устройств iPhone, iPad и iPod touch для устранения критической уязвимости, который активно использовалась в дикой природе.
Проблема, отслеживаемая как CVE-2022-32893 с оценкой CVSS: 8,8, представляет собой проблему записи за пределами границ, затрагивающую WebKit, которая может привести к RCE при обработке вредоносного веб-контента.
Технологический гигант исправил ошибку путём улучшенной проверки границ. Ошибка приписывается анонимному исследователю.
Как отметила Apple, обновление iOS 12.5.6 доступно теперь и для iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).
При этом iOS 12 не затронута CVE-2022-32894.
Последний набор патчей вышел через несколько недель после того, как производитель iPhone исправил две уязвимости в iOS 15.6.1, iPadOS 15.6.1, macOS 12.5.1 и Safari 15.6.1 в рамках обновлений от 18 августа 2022 года.
Apple известно о том, что эта проблема, возможно, активно использовалась, хотя подробности об атаках не разглашаются.
Пользователям старых устройств iOS рекомендуется как можно скорее применить обновления для смягчения потенциальных угроз.
Проблема, отслеживаемая как CVE-2022-32893 с оценкой CVSS: 8,8, представляет собой проблему записи за пределами границ, затрагивающую WebKit, которая может привести к RCE при обработке вредоносного веб-контента.
Технологический гигант исправил ошибку путём улучшенной проверки границ. Ошибка приписывается анонимному исследователю.
Как отметила Apple, обновление iOS 12.5.6 доступно теперь и для iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).
При этом iOS 12 не затронута CVE-2022-32894.
Последний набор патчей вышел через несколько недель после того, как производитель iPhone исправил две уязвимости в iOS 15.6.1, iPadOS 15.6.1, macOS 12.5.1 и Safari 15.6.1 в рамках обновлений от 18 августа 2022 года.
Apple известно о том, что эта проблема, возможно, активно использовалась, хотя подробности об атаках не разглашаются.
Пользователям старых устройств iOS рекомендуется как можно скорее применить обновления для смягчения потенциальных угроз.
Apple Support
About the security content of iOS 12.5.6
This document describes the security content of iOS 12.5.6.
Forwarded from SecurityLab.ru
США запрещают Nvidia и AMD продажу мощных чипов в Китай и Россию
— У NVIDIA под запрет попадут чипы из серии A100 и H100, а у AMD — Instinct MI250.
— Правительство США указало, что новое лицензионное требование будет направлено на устранение риска того, что соответствующие продукты могут быть использованы или перенаправлены для "конечного военного использования" в Китае и России".
— Новости о запретах привели к падению акций Nvidia больше чем на 6%, а акций AMD - на 3,8%.
https://www.securitylab.ru/news/533690.php
— У NVIDIA под запрет попадут чипы из серии A100 и H100, а у AMD — Instinct MI250.
— Правительство США указало, что новое лицензионное требование будет направлено на устранение риска того, что соответствующие продукты могут быть использованы или перенаправлены для "конечного военного использования" в Китае и России".
— Новости о запретах привели к падению акций Nvidia больше чем на 6%, а акций AMD - на 3,8%.
https://www.securitylab.ru/news/533690.php
SecurityLab.ru
США запрещают Nvidia и AMD продажу мощных чипов в Китай и Россию
Теперь Nvidia и AMD потребуется получать специальные лицензии.
͏Пока политики ЕС соревнуются в ограничениях на въезд российских граждан, правительству Португалии приходится решать вопрос с восстановлением авиасообщения в республике, ведь в четверг вечером флагманская авиакомпания TAP Air Portugal приостановила работу после инцидента с ransomware.
На долю TAP году приходится более 50% всех перевозок в международном аэропорту Лиссабона.
Ответственность за атаку взяли вымогатели Ragnar Locker, которые вызвали сбои в работе онлайн-систем перевозчика.
В свою очередь, компания заявила, что атака была купирована, а доказательств того, что злоумышленники получили доступ к информации о клиентах, хранящейся на пострадавших серверах, не получено.
Позже авиакомпания также опубликовала предупреждение о том, что ее веб-сайт и приложение временно не работают, а клиенты могут обслуживаться без входа в систему.
Ragnar Locker же опубликовали новую запись на своем DLS с указанием TAP, опровергнув заявления авиоператора о сохранности информации. Хакеры утверждают, что украли сотни гигабайт данных и готовы предоставить все пруффы.
Пока же Ragnar Locker представили скрин электронной таблицы, содержащей информацию о клиентах, украденную с серверов TAP, включая имена, даты рождения, электронные письма и адреса.
Неделя стала неудачной также и для чилийского правительства, неназванный орган которого подвергся атаке с использованием ransomware. Известно, что акторы нацеливались на инструменты Microsoft и серверы VMware ESXi.
В заявлении чилийского агентства кибербезопасности поясняется, что в результате атаки ко всем файлам в системе ведомства было добавлено расширение crypt.
В связи с чем, многие ресерчеры связывают инцидент с Thanos, однако и другие группы также используют аналогичное расширение.
Злоумышленнику удалось получить полный контроль над системой жертвы, оставить записку с требованием выкупа, предложив способы обратной связи. Актор пригрозил продать информацию в даркнете, если агентство не ответит в течение трех дней.
Ни одна группа вымогателей пока не взяла на себя ответственность за атаку.
Ранее в этом году чилийское агентство по защите прав потребителей шифровалось вымогателями, однако актор также до настоящего времени не известен.
На долю TAP году приходится более 50% всех перевозок в международном аэропорту Лиссабона.
Ответственность за атаку взяли вымогатели Ragnar Locker, которые вызвали сбои в работе онлайн-систем перевозчика.
В свою очередь, компания заявила, что атака была купирована, а доказательств того, что злоумышленники получили доступ к информации о клиентах, хранящейся на пострадавших серверах, не получено.
Позже авиакомпания также опубликовала предупреждение о том, что ее веб-сайт и приложение временно не работают, а клиенты могут обслуживаться без входа в систему.
Ragnar Locker же опубликовали новую запись на своем DLS с указанием TAP, опровергнув заявления авиоператора о сохранности информации. Хакеры утверждают, что украли сотни гигабайт данных и готовы предоставить все пруффы.
Пока же Ragnar Locker представили скрин электронной таблицы, содержащей информацию о клиентах, украденную с серверов TAP, включая имена, даты рождения, электронные письма и адреса.
Неделя стала неудачной также и для чилийского правительства, неназванный орган которого подвергся атаке с использованием ransomware. Известно, что акторы нацеливались на инструменты Microsoft и серверы VMware ESXi.
В заявлении чилийского агентства кибербезопасности поясняется, что в результате атаки ко всем файлам в системе ведомства было добавлено расширение crypt.
В связи с чем, многие ресерчеры связывают инцидент с Thanos, однако и другие группы также используют аналогичное расширение.
Злоумышленнику удалось получить полный контроль над системой жертвы, оставить записку с требованием выкупа, предложив способы обратной связи. Актор пригрозил продать информацию в даркнете, если агентство не ответит в течение трех дней.
Ни одна группа вымогателей пока не взяла на себя ответственность за атаку.
Ранее в этом году чилийское агентство по защите прав потребителей шифровалось вымогателями, однако актор также до настоящего времени не известен.
Так уж сложилось, что исторически сайты электронной коммерции наиболее часто становятся жертвами атак скиммеров и Magento не исключение.
Специалисты из Cyble Research & Intelligence Labs начали свое расследование после того, как увидели в Твиттере сообщение о новом скиммере JavaScript, разработанном группой угроз Magecart и используемом для атак на веб-сайты электронной коммерции Magento.
Причем новый скиммер имеет высокую степень уклонения от обнаружения.
В атаках Magecart на интернет-магазины Magento злоумышленники пытаются использовать уязвимости в популярной CMS, чтобы получить доступ к исходному коду веб-сайта и внедрить вредоносный JavaScript.
Вредоносный код предназначен для захвата платежных данных (имя владельца кредитной/дебетовой карты, номер кредитной/дебетовой карты, номер CVV и срок действия) из платежных форм и страниц оформления заказа.
Скрипт также выполняет некоторые проверки, чтобы определить, что данные имеют правильный формат, например, анализируя длину введенных данных.
При проведении анализа специалисты обнаружили, что когда пользователь посещает взломанный веб-сайт, скиммер загружает оверлейную форму платежа из встроенного файла JavaScript «media/js/js-color.min.js» и просит пользователя ввести платежную информацию.
Как только жертва введет свои платежные данные в форму, файл JavaScript соберёт их, а затем отправит данные в кодировке Base64 на URL-адрес, зашитый в JavaScript, с использованием метода POST.
Эксперты Cyble заметили, что при выполнении JavaScript он проверяет, открыт ли инструмент разработчика браузера, дабы избежать анализа
Активность покупок в Интернете постоянно растет и интерес со стороны злоумышленников соответственно тоже, что заставляет их постоянно совершенствовать свои методы для массового заражения и уклонения от обнаружения.
Специалисты из Cyble Research & Intelligence Labs начали свое расследование после того, как увидели в Твиттере сообщение о новом скиммере JavaScript, разработанном группой угроз Magecart и используемом для атак на веб-сайты электронной коммерции Magento.
Причем новый скиммер имеет высокую степень уклонения от обнаружения.
В атаках Magecart на интернет-магазины Magento злоумышленники пытаются использовать уязвимости в популярной CMS, чтобы получить доступ к исходному коду веб-сайта и внедрить вредоносный JavaScript.
Вредоносный код предназначен для захвата платежных данных (имя владельца кредитной/дебетовой карты, номер кредитной/дебетовой карты, номер CVV и срок действия) из платежных форм и страниц оформления заказа.
Скрипт также выполняет некоторые проверки, чтобы определить, что данные имеют правильный формат, например, анализируя длину введенных данных.
При проведении анализа специалисты обнаружили, что когда пользователь посещает взломанный веб-сайт, скиммер загружает оверлейную форму платежа из встроенного файла JavaScript «media/js/js-color.min.js» и просит пользователя ввести платежную информацию.
Как только жертва введет свои платежные данные в форму, файл JavaScript соберёт их, а затем отправит данные в кодировке Base64 на URL-адрес, зашитый в JavaScript, с использованием метода POST.
Эксперты Cyble заметили, что при выполнении JavaScript он проверяет, открыт ли инструмент разработчика браузера, дабы избежать анализа
Активность покупок в Интернете постоянно растет и интерес со стороны злоумышленников соответственно тоже, что заставляет их постоянно совершенствовать свои методы для массового заражения и уклонения от обнаружения.
Cyble
Cyble - Highly Evasive Magecart JavaScript Skimmer Active In The Wild
Cyble Research and Intelligence Labs analyzes a highly-evasive Magecart Javanoscript skimmer that is active in the wild.
Продолжение истории про "достаточные улики причастности российских спецслужб" к взлому Парламента Черногории.
По крайней мере именно так заявляли министры госуправления и обороны Черногории. А на помощь помчалась спецгруппа кибердознавателей из ФБР.
Теперь уже официально министр госуправления страны Марас Дукай в интервью местному телевидению сообщил, что атака была все-таки делом рук организованной группы. При этом тупорылый министр рассказал об "особом вирусе стоимостью около 10 млн. долларов", видимо приняв за цену вредоноса размер требуемого Cuba Ransomware выкупа.
Сотрудников ФБР только жалко. Гоняют бедолаг туда-сюда...
По крайней мере именно так заявляли министры госуправления и обороны Черногории. А на помощь помчалась спецгруппа кибердознавателей из ФБР.
Теперь уже официально министр госуправления страны Марас Дукай в интервью местному телевидению сообщил, что атака была все-таки делом рук организованной группы. При этом тупорылый министр рассказал об "особом вирусе стоимостью около 10 млн. долларов", видимо приняв за цену вредоноса размер требуемого Cuba Ransomware выкупа.
Сотрудников ФБР только жалко. Гоняют бедолаг туда-сюда...
Telegram
SecAtor
🇨🇺Cuba Ransomware взяли ответственность за кибератаку на парламент 🇲🇪Черногории
Об этом сообщили DataBreaches. Версия про однозначный "русский след" спецслужб выглядит теперь ещё менее убедительно. Опять какой-то хайли лайкли получается.
Западные ИБ-ресёрчеры…
Об этом сообщили DataBreaches. Версия про однозначный "русский след" спецслужб выглядит теперь ещё менее убедительно. Опять какой-то хайли лайкли получается.
Западные ИБ-ресёрчеры…
По следам громких атак исследователи Cybereason подробно разобрали механику работы Ragnar Locker.
Группа активна с 2019 года, нацелена на критически важные объекты, практикует тактику двойного вымогательства.
Согласно статистики ФБР США, на их счету по меньшей мере 52 предприятия в десяти важнейших отраслях промышленности. Только в августе 2022 года группа пошифровала греческого газового оператора Desfa и слила украденные конфиденциальные данные.
При реализации атак ransomware определяет местоположение жертвы, прекращая выполнение в случае нахождения в сегменте СНГ.
Малварь собирает информацию о хосте, включая имя компьютера, пользователя, GUID и версию Windows. Кроме того, Ragnar Locker идентифицирует существующие тома файлов с помощью Windows APICreateFileW.
После чего расшифровывается список сервисов, встроенных в код Ragnar Locker, включая: vss, sql, memtas, mepocs, sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, kaseya, vmcompute, Hyper-v, vmms, Dfs. Если какая-либо из них работает, то вредоносное ПО ее принудительно завершает.
После чего вредоносное ПО расшифровывает встроенный открытый ключ RSA. Он распаковывает встроенную записку о выкупе и удаляет все теневые копии хоста с помощью vssadmin.exe и Wmic.exe.
В ней указывает сумма выкупа в эквиваленте биткойнов, для переговоров выделяется время в 48 часов. При этом сумма удваивается, если жертва не выходит на контакт в течение 14 дней, а ключ дешифрования уничтожается, если стороне не договорятся об оплате течение 21 дня. Сумма выкупа формируется исходя из статуса сети жертвы, количества сотрудников и доходов компании.
После подготовки записки о выкупе Ragnar Locker запускает процесс шифрования за исключением ряда загрузочных и служебных файлов и процессов, а также с расширениями .db, .sys, .dll, lnk, .msi, .drv, .exe.
Все остальные шифруются с добавлением расширения ragnar_[хешированное имя компьютера]. После шифрования Ragnar Locker создает процесс notepad.exe и отображает записку о выкупе на экране пользователя.
Все необходимые файлы для последующей утечки эксфильтрируются вплоть до запуска шифрования. В некоторых случаях эксфильтрация занимает до полутора месяцев до начала процесса шифрования.
Ragnar Locker работают как часть семейства ransomware, постоянно меняя методы сокрытия своего присутствия в сети жертвы для сокрытия от обнаружения.
Как показывают их последние атаки, делают это они достаточно профессионально.
Группа активна с 2019 года, нацелена на критически важные объекты, практикует тактику двойного вымогательства.
Согласно статистики ФБР США, на их счету по меньшей мере 52 предприятия в десяти важнейших отраслях промышленности. Только в августе 2022 года группа пошифровала греческого газового оператора Desfa и слила украденные конфиденциальные данные.
При реализации атак ransomware определяет местоположение жертвы, прекращая выполнение в случае нахождения в сегменте СНГ.
Малварь собирает информацию о хосте, включая имя компьютера, пользователя, GUID и версию Windows. Кроме того, Ragnar Locker идентифицирует существующие тома файлов с помощью Windows APICreateFileW.
После чего расшифровывается список сервисов, встроенных в код Ragnar Locker, включая: vss, sql, memtas, mepocs, sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, kaseya, vmcompute, Hyper-v, vmms, Dfs. Если какая-либо из них работает, то вредоносное ПО ее принудительно завершает.
После чего вредоносное ПО расшифровывает встроенный открытый ключ RSA. Он распаковывает встроенную записку о выкупе и удаляет все теневые копии хоста с помощью vssadmin.exe и Wmic.exe.
В ней указывает сумма выкупа в эквиваленте биткойнов, для переговоров выделяется время в 48 часов. При этом сумма удваивается, если жертва не выходит на контакт в течение 14 дней, а ключ дешифрования уничтожается, если стороне не договорятся об оплате течение 21 дня. Сумма выкупа формируется исходя из статуса сети жертвы, количества сотрудников и доходов компании.
После подготовки записки о выкупе Ragnar Locker запускает процесс шифрования за исключением ряда загрузочных и служебных файлов и процессов, а также с расширениями .db, .sys, .dll, lnk, .msi, .drv, .exe.
Все остальные шифруются с добавлением расширения ragnar_[хешированное имя компьютера]. После шифрования Ragnar Locker создает процесс notepad.exe и отображает записку о выкупе на экране пользователя.
Все необходимые файлы для последующей утечки эксфильтрируются вплоть до запуска шифрования. В некоторых случаях эксфильтрация занимает до полутора месяцев до начала процесса шифрования.
Ragnar Locker работают как часть семейства ransomware, постоянно меняя методы сокрытия своего присутствия в сети жертвы для сокрытия от обнаружения.
Как показывают их последние атаки, делают это они достаточно профессионально.
Cybereason
THREAT ANALYSIS REPORT: Ragnar Locker Ransomware Targeting the Energy Sector
Ragnar Locker is a ransomware family with security evasion capabilities which is targeting the energy sector and recently claimed to have breached DESFA, a Greek pipeline company...
͏Активность вымогателей продолжает расти, стоит только взглянуть на последние резонансные атаки.
Hive добавила Eurocell в список на своем DLS, потребовав около 6 миллионов долларов в качестве выкупа, однако Eurocell отказался (по крайней мере, официально) от переговоров. При этом британская Eurocell имеет более 420 миллионов долларов ежегодной прибыли.
Атака произошла после того, как Hive пошифровали израильскую Hot Telecommunications Systems, дочернюю компанию Altice International.
CHEERS ransomware анонсировали AN JAPAN GAME HALLS OPERATOR в качестве жертвы атаки, выбрав более 3,7 ТБ, которые в случае отсутствия выкупа будут слиты в сеть к 14 сентября.
После месячного отпуска Everest добавили на свой DLS новую жертву Olam из Сингапура. Компания занимается продовольствием и сельским хозяйством, которая поставляет множество пищевых ингредиентов, имея доход в 30 млрд.
После некоторых проволочек в переговорах через два дня после того, как RansomEXX добавил BRP на свой DLS, хакеры приступили к публикации украденных данных на сотрудников BRP.
BlackByte зарансомили в США Apex Capital, а оффшорная инжиниринговая компания Sembcorp Marine пала под натиском пока неизвестного актора.
Больше всех отличились REvil, атаковав крупнейшего китайского производителя электротехники Midea Group. Годовой доход конгломерата достигает 51 млрд. долларов США. Как ожидалось, REvil продолжают охоту на крупный цели.
Hive добавила Eurocell в список на своем DLS, потребовав около 6 миллионов долларов в качестве выкупа, однако Eurocell отказался (по крайней мере, официально) от переговоров. При этом британская Eurocell имеет более 420 миллионов долларов ежегодной прибыли.
Атака произошла после того, как Hive пошифровали израильскую Hot Telecommunications Systems, дочернюю компанию Altice International.
CHEERS ransomware анонсировали AN JAPAN GAME HALLS OPERATOR в качестве жертвы атаки, выбрав более 3,7 ТБ, которые в случае отсутствия выкупа будут слиты в сеть к 14 сентября.
После месячного отпуска Everest добавили на свой DLS новую жертву Olam из Сингапура. Компания занимается продовольствием и сельским хозяйством, которая поставляет множество пищевых ингредиентов, имея доход в 30 млрд.
После некоторых проволочек в переговорах через два дня после того, как RansomEXX добавил BRP на свой DLS, хакеры приступили к публикации украденных данных на сотрудников BRP.
BlackByte зарансомили в США Apex Capital, а оффшорная инжиниринговая компания Sembcorp Marine пала под натиском пока неизвестного актора.
Больше всех отличились REvil, атаковав крупнейшего китайского производителя электротехники Midea Group. Годовой доход конгломерата достигает 51 млрд. долларов США. Как ожидалось, REvil продолжают охоту на крупный цели.
Google выпустила экстренное обновление Chrome 105.0.5195.102 для Windows, Mac и Linux, чтобы устранить шестую за этот год 0-day.
Исправленная ошибка представляет собой уязвимость высокой степени серьезности, вызванную недостаточной проверкой данных в Mojo, наборе библиотек времени выполнения, который реализует передачу сообщений через произвольные межпроцессные и внутрипроцессные границы. Ее раскрыл анонимный исследователь.
Согласно бюллетеню, Google известно о том, что эксплойт для CVE-2022-3075 существует в дикой природе. Однако компания не привела технических или иных подробностей инцидентов. Доступ к этой информации будет ограничен до тех пор, пока большинство пользователей не накатят исправления.
Учитывая, что исправленная 0-day дня также использовалась злоумышленниками в дикой природе, настоятельно рекомендуется как можно скорее обновить веб-браузер Google Chrome.
Ведь одну из предыдущих уязвимостей CVE-2022-0609 эксплуатировали северокорейские АРТ еще за несколько недель до февральского патча, а самые ранние признаки эксплуатации были обнаружены в начале января.
Исправленная ошибка представляет собой уязвимость высокой степени серьезности, вызванную недостаточной проверкой данных в Mojo, наборе библиотек времени выполнения, который реализует передачу сообщений через произвольные межпроцессные и внутрипроцессные границы. Ее раскрыл анонимный исследователь.
Согласно бюллетеню, Google известно о том, что эксплойт для CVE-2022-3075 существует в дикой природе. Однако компания не привела технических или иных подробностей инцидентов. Доступ к этой информации будет ограничен до тех пор, пока большинство пользователей не накатят исправления.
Учитывая, что исправленная 0-day дня также использовалась злоумышленниками в дикой природе, настоятельно рекомендуется как можно скорее обновить веб-браузер Google Chrome.
Ведь одну из предыдущих уязвимостей CVE-2022-0609 эксплуатировали северокорейские АРТ еще за несколько недель до февральского патча, а самые ранние признаки эксплуатации были обнаружены в начале января.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 105.0.5195.102 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full lis...
После очередного обновления Microsoft Defender стал идентифицировать Google Chrome, Microsoft Edge, Discord и другие приложения Electron в качестве ransomware Hive каждый раз, когда они открываются в Windows.
Проблема началась в воскресенье утром, когда Microsoft выпустила обновление сигнатуры Защитника 1.373.1508.0, включающее два новых обнаружения угроз, в том числе Behavior:Win32/Hive.ZY.
Согласно BornCity, ложные срабатывания охватили достаточно большое число пользователей, заполонивших сообщениями Twitter и Reddit.
Не спасает и то, что с тех пор Microsoft выпустила уже два новых обновления для Microsoft Defender, последнее из которых — 1.373.1518.0 хоть и не должно отображать ложные обнаружения Win32/Hive.ZY, тем не менее, пользователи продолжают получать ложные срабатывания.
Традиционно, победить проблему Microsoft удалось после выпуска, патча на патч, повторив эту итерацию дважды.
Обновление аналитики безопасности Microsoft Defender версии 1.373.1537.0 устранило ложные срабатывания Win32/Hive.ZY, а возможно, и что-то еще.
Проблема началась в воскресенье утром, когда Microsoft выпустила обновление сигнатуры Защитника 1.373.1508.0, включающее два новых обнаружения угроз, в том числе Behavior:Win32/Hive.ZY.
Согласно BornCity, ложные срабатывания охватили достаточно большое число пользователей, заполонивших сообщениями Twitter и Reddit.
Не спасает и то, что с тех пор Microsoft выпустила уже два новых обновления для Microsoft Defender, последнее из которых — 1.373.1518.0 хоть и не должно отображать ложные обнаружения Win32/Hive.ZY, тем не менее, пользователи продолжают получать ложные срабатывания.
Традиционно, победить проблему Microsoft удалось после выпуска, патча на патч, повторив эту итерацию дважды.
Обновление аналитики безопасности Microsoft Defender версии 1.373.1537.0 устранило ложные срабатывания Win32/Hive.ZY, а возможно, и что-то еще.
Microsoft
Submit a file for malware analysis - Microsoft Security Intelligence
Submit suspected malware or incorrectly detected files for analysis. Submitted files will be added to or removed from antimalware definitions based on the analysis results.
͏После недавнего Twilio, приведшего к утечке кодов двухфакторной аутентификации (OTP), спрос на фишинг в даркнете значимо подрос. А, как известно, спрос всегда рождает предложение.
Собственно, что подтверждают и ресерчеры Resecurity, которые обнаружили активно рекламируемый в киберподполье фишинговый набор под названием EvilProxy.
PhaaS также известна как Moloch и имеет некоторую связь с набором для фишинга, разработанным несколькими известными подпольными акторами, которые ранее атаковали финансовые учреждения и сектор электронной коммерции.
По данным исследовательской группы, EvilProxy является частью новой волны фишинговых сервисов, которые используют модель обратных прокси AitM и возможности внедрения файлов cookie для обхода защиты MFA.
Если раньше Reverse Proxy и Cookie Injection были замечены в целевых кампаниях APT, то теперь успешно реализованы на массмаркет в рамках EvilProxy, который позволяет злоумышленникам атаковать цели в самых серьезных масштабах без необходимости взламывать вышестоящие сервисы.
В ходе расследований атак на нескольких сотрудников компаний из списка Fortune 500, Resecurity, связанных с обходом MFA на основе SMS или токена приложения, смогла получить подробные сведения о EvilProxy, включая структуру, модули, функции и сетевую инфраструктуру, используемую для осуществления злонамеренной деятельности.
Жертвами первых атак на тот момент стали клиенты Google и MSFT.
Впервые EvilProxy было анонсировано в начале мая 2022 года, его создатели выпустили демонстрационное видео.
В нем подробно описываются возможности для доставки расширенных фишинговых ссылок для взлома учетных записей пользователей Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Яндекс и другие.
Таким образом, киберпреступники продолжают совершенствовать свой арсенал атак, так что в ближайшее время следует ожидать увеличение числа резонансных фишинговых кампаний, нацеленных на разнокалиберных пользователей по всему миру.
Собственно, что подтверждают и ресерчеры Resecurity, которые обнаружили активно рекламируемый в киберподполье фишинговый набор под названием EvilProxy.
PhaaS также известна как Moloch и имеет некоторую связь с набором для фишинга, разработанным несколькими известными подпольными акторами, которые ранее атаковали финансовые учреждения и сектор электронной коммерции.
По данным исследовательской группы, EvilProxy является частью новой волны фишинговых сервисов, которые используют модель обратных прокси AitM и возможности внедрения файлов cookie для обхода защиты MFA.
Если раньше Reverse Proxy и Cookie Injection были замечены в целевых кампаниях APT, то теперь успешно реализованы на массмаркет в рамках EvilProxy, который позволяет злоумышленникам атаковать цели в самых серьезных масштабах без необходимости взламывать вышестоящие сервисы.
В ходе расследований атак на нескольких сотрудников компаний из списка Fortune 500, Resecurity, связанных с обходом MFA на основе SMS или токена приложения, смогла получить подробные сведения о EvilProxy, включая структуру, модули, функции и сетевую инфраструктуру, используемую для осуществления злонамеренной деятельности.
Жертвами первых атак на тот момент стали клиенты Google и MSFT.
Впервые EvilProxy было анонсировано в начале мая 2022 года, его создатели выпустили демонстрационное видео.
В нем подробно описываются возможности для доставки расширенных фишинговых ссылок для взлома учетных записей пользователей Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Яндекс и другие.
Таким образом, киберпреступники продолжают совершенствовать свой арсенал атак, так что в ближайшее время следует ожидать увеличение числа резонансных фишинговых кампаний, нацеленных на разнокалиберных пользователей по всему миру.
Специалисты из SentinelOne вместе с Checkmarx провели расследование, в результате которого стало известно, кто причастен к фишинговой кампании по компрометации пакетов PyPI.
Специалисты выяснили, что за атаками стоят операторы JuiceLedger, которые активно атаковали пользователей и успешно «отравили» как минимум два легитимных пакета PyPI вредоносным программным обеспечением.
Группировка новая и, по мнению экспертов, появилась в начале 2022 года.
Как сообщается, изначально JuiceLedger использовали мошеннические приложения-установщики Python для доставки вредоносного ПО на основе .NET под названием JuiceStealer.
Малварь предназначалась для сбора паролей и других конфиденциальных данных из веб-браузеров жертв. В прошлом месяце масштаб атак значительно вырос, когда участники JuiceLedger нацелились на цепочку поставок пакетов PyPi.
Причем этот вектор, использовался параллельно с более ранним методом заражения JuiceLedger, поскольку аналогичные полезные нагрузки доставлялись примерно в то же время через фейковые ресурсы приложений для торговли криптовалютой.
Чтобы смягчить воздействие этих атак в PyPI заявили, что активно изучают отчеты о вредоносных пакетах и уже устранили несколько сотен ошибок.
Кроме того, PyPI начал вводить требование обязательной двухфакторной аутентификации (2FA) для проектов, которые считаются «критическими».
Практика крайне не приятная и учитывая широкое использование PyPI, а также других пакетов с открытым исходным кодом в корпоративных средах, атаки, подобные этим, вызывают беспокойство.
В связи с чем, группам безопасности настоятельно рекомендуется проверять предоставленные индикаторы и принимать соответствующие меры по смягчению последствий.
Специалисты выяснили, что за атаками стоят операторы JuiceLedger, которые активно атаковали пользователей и успешно «отравили» как минимум два легитимных пакета PyPI вредоносным программным обеспечением.
Группировка новая и, по мнению экспертов, появилась в начале 2022 года.
Как сообщается, изначально JuiceLedger использовали мошеннические приложения-установщики Python для доставки вредоносного ПО на основе .NET под названием JuiceStealer.
Малварь предназначалась для сбора паролей и других конфиденциальных данных из веб-браузеров жертв. В прошлом месяце масштаб атак значительно вырос, когда участники JuiceLedger нацелились на цепочку поставок пакетов PyPi.
Причем этот вектор, использовался параллельно с более ранним методом заражения JuiceLedger, поскольку аналогичные полезные нагрузки доставлялись примерно в то же время через фейковые ресурсы приложений для торговли криптовалютой.
Чтобы смягчить воздействие этих атак в PyPI заявили, что активно изучают отчеты о вредоносных пакетах и уже устранили несколько сотен ошибок.
Кроме того, PyPI начал вводить требование обязательной двухфакторной аутентификации (2FA) для проектов, которые считаются «критическими».
Практика крайне не приятная и учитывая широкое использование PyPI, а также других пакетов с открытым исходным кодом в корпоративных средах, атаки, подобные этим, вызывают беспокойство.
В связи с чем, группам безопасности настоятельно рекомендуется проверять предоставленные индикаторы и принимать соответствующие меры по смягчению последствий.
SentinelOne
PyPI Phishing Campaign | JuiceLedger Threat Actor Pivots From Fake Apps to Supply Chain Attacks
A new threat actor is spreading infostealer malware through targeted attacks on developers and fraudulent cryptotrading applications.
Исходники CodeRAT утекли на GitHub и случилось это во многом благодаря ресерчерам SafeBreach после попытки установить контакт с разработчиком вредоносного ПО, которое использовалось в атаках.
Автор, как предположили исследователи, базируется в Иране. Малварь была нацелена на разработчиков ПО, знающих фарси. В кампании использовался документ Word с эксплойтом Microsoft Dynamic Data Exchange (DDE).
Эксплойт загружал и запускал CodeRAT из репозитория GitHub злоумышленника, предоставляя удаленному оператору широкий спектр возможностей после заражения.
В частности, CodeRAT поддерживает около 50 команд, включая создание снимков экрана, копирование содержимого буфера обмена, получение списка запущенных процессов, завершение процессов, проверку использования графического процессора, загрузку, загрузку, удаление файлов, выполнение программ.
Кроме того, обладает обширными возможностями мониторинга веб-почты, документов Microsoft Office, баз данных, платформ социальных сетей, интегрированной среды разработки (IDE) для Windows Android и даже отдельных веб-сайтов, таких как PayPal.
Вредоносное ПО также шпионит за конфиденциальными окнами Visual Studio, Python, PhpStorm и Verilog.
Для связи с оператором и эксфильтрации украденных данных CodeRAT использует механизм на базе Telegram, который опирается на общедоступный API загрузки анонимных файлов вместо распространенной инфраструктуры С2.
В случае блокировки мессенджера в сегменте жертвы, CodeRAT предлагает функциональность антифильтрации, которая устанавливает отдельный канал маршрутизации запросов, который может помочь обойти блокировки.
Злоумышленник может генерировать команды с помощью инструмента пользовательского интерфейса также в ручном режиме (включая опцию USB) и через локально сохраненные команды (в папке «myPictures»).
Автор утверждает, что вредоносное ПО может сохраняться между перезагрузками без внесения каких-либо изменений в реестр Windows, но SafeBreach не предоставляет никаких подробностей об этой функции.
CodeRAT обладает мощным функционалом, который, по всей видимости, получит вторую жизнь после обнародования исходного кода и будет упакован уже в новые «продукты».
Автор, как предположили исследователи, базируется в Иране. Малварь была нацелена на разработчиков ПО, знающих фарси. В кампании использовался документ Word с эксплойтом Microsoft Dynamic Data Exchange (DDE).
Эксплойт загружал и запускал CodeRAT из репозитория GitHub злоумышленника, предоставляя удаленному оператору широкий спектр возможностей после заражения.
В частности, CodeRAT поддерживает около 50 команд, включая создание снимков экрана, копирование содержимого буфера обмена, получение списка запущенных процессов, завершение процессов, проверку использования графического процессора, загрузку, загрузку, удаление файлов, выполнение программ.
Кроме того, обладает обширными возможностями мониторинга веб-почты, документов Microsoft Office, баз данных, платформ социальных сетей, интегрированной среды разработки (IDE) для Windows Android и даже отдельных веб-сайтов, таких как PayPal.
Вредоносное ПО также шпионит за конфиденциальными окнами Visual Studio, Python, PhpStorm и Verilog.
Для связи с оператором и эксфильтрации украденных данных CodeRAT использует механизм на базе Telegram, который опирается на общедоступный API загрузки анонимных файлов вместо распространенной инфраструктуры С2.
В случае блокировки мессенджера в сегменте жертвы, CodeRAT предлагает функциональность антифильтрации, которая устанавливает отдельный канал маршрутизации запросов, который может помочь обойти блокировки.
Злоумышленник может генерировать команды с помощью инструмента пользовательского интерфейса также в ручном режиме (включая опцию USB) и через локально сохраненные команды (в папке «myPictures»).
Автор утверждает, что вредоносное ПО может сохраняться между перезагрузками без внесения каких-либо изменений в реестр Windows, но SafeBreach не предоставляет никаких подробностей об этой функции.
CodeRAT обладает мощным функционалом, который, по всей видимости, получит вторую жизнь после обнародования исходного кода и будет упакован уже в новые «продукты».
SafeBreach
SafeBreach Uncovers New Remote Access Trojan (RAT)
Dubbed CodeRAT, the new RAT is used in attacks targeting Farsi-speaking code developers using a Microsoft Dynamic Data Exchange (DDE) exploit.
QNAP предупреждает клиентов сетевых хранилищ NAS о начавшихся с субботы активных атаках ransomware DeadBolt с использованием 0-day в Photo Station.
Компания выпустила новый информационный бюллетень и призывает всех пользователей NAS с выходом в Интернет обновиться до последней версии Photo Station.
Исправления для 0-day вышли через 12 часов с начала атак.
Проблема решена для следующих версий (и более поздних): QTS 5.0.1: Photo Station 6.1.2; QTS 5.0.0/4.5.x: Photo Station 6.0.22; QTS 4.3.6: Photo Station 5.7.18; QTS 4.3.3: Photo Station 5.4.15; QTS 4.2.6: Photo Station 5.2.14.
Кроме того, в качестве альтернативы QNAP предлагает пользователям заменить Photo Station на более безопасный инструмент QuMagie, предназначенный для управления хранилищем фотографий для устройств QNAP NAS.
Технические детали уязвимости на данный момент не разглашаются.
Производитель настаивал и продолжает настаивать на том, чтотень и призыване подключались напрямую к Интернету, рекомендуя пользователям использовать myQNAPcloud Link или подключить VPN.
Также следует отключить переадресацию портов на маршрутизаторах, запретить доступ к устройствам NAS в Интернете, обновить прошивку, применять надежные пароли для учетных записей пользователей и регулярно делать резервные копии.
Буде м считать, что в четвертом раунде начавшегося с января 2022 года противостояния QNAP с вымогателями победу одержал производитель.
Однако, принимая во внимание методичность хакеров - поединок продолжится.
Будем посмотреть.
Компания выпустила новый информационный бюллетень и призывает всех пользователей NAS с выходом в Интернет обновиться до последней версии Photo Station.
Исправления для 0-day вышли через 12 часов с начала атак.
Проблема решена для следующих версий (и более поздних): QTS 5.0.1: Photo Station 6.1.2; QTS 5.0.0/4.5.x: Photo Station 6.0.22; QTS 4.3.6: Photo Station 5.7.18; QTS 4.3.3: Photo Station 5.4.15; QTS 4.2.6: Photo Station 5.2.14.
Кроме того, в качестве альтернативы QNAP предлагает пользователям заменить Photo Station на более безопасный инструмент QuMagie, предназначенный для управления хранилищем фотографий для устройств QNAP NAS.
Технические детали уязвимости на данный момент не разглашаются.
Производитель настаивал и продолжает настаивать на том, чтотень и призыване подключались напрямую к Интернету, рекомендуя пользователям использовать myQNAPcloud Link или подключить VPN.
Также следует отключить переадресацию портов на маршрутизаторах, запретить доступ к устройствам NAS в Интернете, обновить прошивку, применять надежные пароли для учетных записей пользователей и регулярно делать резервные копии.
Буде м считать, что в четвертом раунде начавшегося с января 2022 года противостояния QNAP с вымогателями победу одержал производитель.
Однако, принимая во внимание методичность хакеров - поединок продолжится.
Будем посмотреть.
QNAP Systems, Inc. - Network Attached Storage (NAS)
DeadBolt Ransomware - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
͏Lockbit ransomware обрушили IT-инфраструктуру старейшего города-коммуны Гориция в итальянском регионе Фриули-Венеция-Джулия на границе со Словенией, административного центра одноимённой провинции. Первые упоминания датируются 1001 годом. Видимо, и местная ИБ пришла с тех же самых времен.
Серьезный удар вымогатели также нанесли и по Бразилии.
LockBit добавила интегрированную бразильскую энергетическую компанию на свой DLS.
Пострадавшая Eneva SA работает в секторах разведки и добычи нефти и природного газа, а также выступает в качестве поставщика энергоносителей конечным потребителям на внутреннем рынке.
При этом Eneva покрывает до 38% всей добычи природного газа в Бразилии, что делает ее крупнейшим частным газооператором.
Примерно в это же время RansomEXX атаковали Национальный фонд развития образования Бразилии (FNDE).
62,14 ГБ эксфильтрованных в результате атаки данных висят на DLS группы. Учреждение связано с Минобром республики, обеспечивает финансирование и координацию федеральных структур по вопросам образования.
Серьезный удар вымогатели также нанесли и по Бразилии.
LockBit добавила интегрированную бразильскую энергетическую компанию на свой DLS.
Пострадавшая Eneva SA работает в секторах разведки и добычи нефти и природного газа, а также выступает в качестве поставщика энергоносителей конечным потребителям на внутреннем рынке.
При этом Eneva покрывает до 38% всей добычи природного газа в Бразилии, что делает ее крупнейшим частным газооператором.
Примерно в это же время RansomEXX атаковали Национальный фонд развития образования Бразилии (FNDE).
62,14 ГБ эксфильтрованных в результате атаки данных висят на DLS группы. Учреждение связано с Минобром республики, обеспечивает финансирование и координацию федеральных структур по вопросам образования.
Хакеры из Open Hands сообщили о взломе личного телефона главы Моссада Дэвида Барнеа и в качестве доказательств разместили фотографии с его недавнего похода к стоматологу, посоветовав ему «чистить зубы два раза в день».
Ранее, предположительно, связанная с Ираном группа демонстрировала целый массив личных документов главы израильской спецслужбы, фотографии дома и семейный фотоархив.
Open Hands смонтировали и представили целый видеоролик из документов, который стали их достоянием в результате длительной целевой шпионской кампании, начиная с 2014 года.
В паблик утекли даже билеты на самолёт и неучтенная недвижимость.
Официальные лица Израиля заявили, что опубликованные материалы утратили свою актуальность и были получены из других источников, но не с телефона. Именно так снимки зубов Барнеа тоже попали в сеть.
Неясно, был ли в реальности взломан телефон или прочие гаджеты главы Моссада, но представленные Open Hands пруфы сомнений не вызывают.
К тому же, администраторы сливного канала в телеге обещают новые утечки.
Впрочем, если вспомнить недавние киберинциденты на объектах транспорта и энергетики Ирана, то становится очевидным, что шутка с заменой номера горячей линии на принадлежащий офису верховного лидера страны - по всей видимости, вышла атакующим боком.
Но будем посмотреть.
Ранее, предположительно, связанная с Ираном группа демонстрировала целый массив личных документов главы израильской спецслужбы, фотографии дома и семейный фотоархив.
Open Hands смонтировали и представили целый видеоролик из документов, который стали их достоянием в результате длительной целевой шпионской кампании, начиная с 2014 года.
В паблик утекли даже билеты на самолёт и неучтенная недвижимость.
Официальные лица Израиля заявили, что опубликованные материалы утратили свою актуальность и были получены из других источников, но не с телефона. Именно так снимки зубов Барнеа тоже попали в сеть.
Неясно, был ли в реальности взломан телефон или прочие гаджеты главы Моссада, но представленные Open Hands пруфы сомнений не вызывают.
К тому же, администраторы сливного канала в телеге обещают новые утечки.
Впрочем, если вспомнить недавние киберинциденты на объектах транспорта и энергетики Ирана, то становится очевидным, что шутка с заменой номера горячей линии на принадлежащий офису верховного лидера страны - по всей видимости, вышла атакующим боком.
Но будем посмотреть.
וואלה
ההאקרים שפרצו לטלפון של ראש המוסד הדליפו תמונות מ"טיפול שיניים" שלו: "לצחצח פעמיים ביום" - וואלה חדשות
הקבוצה "Open Hands", שככל הנראה קשורה לאיראן, הפיצה מידע אישי לכאורה מהטלפון של ברנע, עם "טיפ בריאותי". בחודשים האחרונים פרסמו ההאקרים גם מסמכי מס, צילום לוויין של ביתו ותמונות משפחתיות